Delen via

Aangepaste regels voor gegevensverzameling maken en beheren in Microsoft Defender voor Eindpunt (preview)

  • Van toepassing op: Microsoft Defender for Endpoint

Belangrijk

Sommige informatie in dit artikel heeft betrekking op een vooraf uitgebracht product dat aanzienlijk kan worden gewijzigd voordat het commercieel wordt uitgebracht. Microsoft geeft geen garanties, expliciet of impliciet, met betrekking tot de informatie die hier wordt verstrekt.

Met aangepaste gegevensverzameling (preview) kunnen organisaties telemetrieverzameling uitbreiden en aanpassen buiten de standaardconfiguraties om ondersteuning te bieden voor gespecialiseerde behoeften voor het opsporen van bedreigingen en beveiligingsbewaking.

Met aangepaste regels voor gegevensverzameling kunt u specifieke gebeurtenissen definiëren en de gegevens analyseren om uw beveiligingszichtbaarheid en opsporingsbewerkingen voor bedreigingen te verbeteren. Aangepaste regels voor gegevensverzameling zijn gebaseerd op aangepaste filters voor gebeurteniseigenschappen, zoals mappaden, procesnamen en netwerkverbindingen.

In dit artikel wordt beschreven hoe u aangepaste regels voor gegevensverzameling maakt en beheert in de Microsoft Defender-portal.

Aangepaste regels voor gegevensverzameling maken

Vereisten

Als u aangepaste gegevensverzameling wilt gebruiken, controleert u of u aan de volgende vereisten voldoet:

  • Een Microsoft Defender voor Eindpunt P2-licentie.
  • Een verbonden Microsoft Sentinel werkruimte: vereist voor aangepaste gegevensopslag en het uitvoeren van query's. U kunt momenteel slechts één Sentinel werkruimte per Defender voor Eindpunt-tenant verbinden voor aangepaste gegevensverzameling.

    Opmerking

    Zelfs als u een verbonden Microsoft Sentinel werkruimte hebt, moet u de werkruimte nog steeds selecteren wanneer u een aangepaste regel voor gegevensverzameling maakt. Zie Regels maken voor meer informatie.

  • Dynamische tags die zijn geconfigureerd in Asset Rule Management voor apparaattargeting. Als u een tag wilt gebruiken voor aangepaste gegevensverzameling, moet de tag ten minste één keer worden uitgevoerd.

Ondersteunde besturingssystemen

Prestaties en limieten

  • Elke verzamelingsregel kan maximaal 25.000 gebeurtenissen per apparaat vastleggen binnen een doorlopende periode van 24 uur. Zodra het apparaat de limiet heeft bereikt, stopt de telemetrie voor de specifieke regel op het specifieke apparaat totdat het venster opnieuw wordt ingesteld.
    • Als het apparaat de drempelwaarde vroeg in de cyclus bereikt, kan het tot 24 uur duren voordat telemetrie wordt hervat. Als het apparaat bijvoorbeeld de limiet bereikt één uur nadat het venster opnieuw is ingesteld, wordt de telemetrie na 23 uur hervat.
    • Als het apparaat de drempelwaarde bereikt aan het einde van het venster, is de vertraging korter. Als het apparaat bijvoorbeeld de limiet bereikt twee uur voordat het venster opnieuw wordt ingesteld, wordt de telemetrie na twee uur hervat.
  • Regelimplementatie duurt doorgaans 20 minuten tot één uur.
  • Aangepaste verzameling werkt naast de standaardconfiguratie van Defender voor Eindpunt zonder interferentie.

Gegevenskosten

Aangepaste gegevensverzameling is opgenomen in Microsoft Defender voor Eindpunt P2-licentie. Voor gegevensopname in Microsoft Sentinel werkruimten worden echter kosten in rekening gebracht op basis van uw Sentinel factureringsregeling.

Regels maken

  1. Navigeer in de Microsoft Defender-portal naar Instellingen>Eindpuntregels>>Aangepaste gegevensverzameling.

  2. Als u uw Microsoft Sentinel werkruimte wilt onboarden, selecteert u rechtsboven de naam van de Microsoft Sentinel werkruimte.

    Schermopname van het selecteren van een Microsoft Sentinel werkruimte.

  3. Selecteer uw werkruimte op de pagina Werkruimtebereik .

    Schermopname van het selecteren van een Microsoft Sentinel werkruimtebereik.

    Opmerking

    U moet in deze fase de werkruimte selecteren, zelfs als u al een verbonden Microsoft Sentinel werkruimte hebt.

  4. Selecteer Regel maken. Typ in de sectie Algemene informatie een regelnaam en beschrijving en selecteer Volgende.

    Schermopname van het maken van een regel: pagina Algemene informatie.

  5. In de sectie Regel maken :

    1. Selecteer uit welke tabel u gegevens wilt verzamelen. Zie Ondersteunde gebeurtenistabellen voor meer informatie.
    2. Selecteer de actie waarvoor u gegevens wilt verzamelen.
    3. Voeg regelvoorwaarden toe om de gegevens nog verder te filteren. U kunt meerdere voorwaarden toevoegen om de gegevensverzameling te verfijnen. Regelvoorwaarden zijn gebaseerd op de geselecteerde tabel. Zie de betreffende tabelkoppeling onder Ondersteunde gebeurtenistabellen voor meer informatie.

    Schermopname van het maken van een regel: pagina Regel maken.

  6. Selecteer Volgende.

  7. Selecteer in de sectie Regelbereik definiëren of u gegevens wilt verzamelen van alle toepasselijke clientapparaten of van specifieke apparaten met dynamische tags. Zie Dynamische regels maken voor apparaten in assetregelbeheer voor meer informatie.

    Schermopname van het maken van een regel: pagina Bereik definiëren.

    Opmerking

    Aangepaste gegevensverzameling ondersteunt alleen dynamische tags.

  8. Controleer in de sectie Controleren en voltooien uw regelinstellingen en selecteer Verzenden.

    Schermopname van het maken van een regel: Pagina controleren en voltooien.

Het kan tot een uur duren voordat de regel is geïmplementeerd op de doelapparaten.

Bewaken en problemen oplossen

Als regels niet werken zoals verwacht:

  • Maak een algemene regel om gebeurtenissen in een onverwachte use-case te verzamelen. Maak bijvoorbeeld een regel waarmee alle netwerkevenementen worden verzameld waarbij port not equals 0.
  • Afzonderlijke filters en tags toepassen om problemen te isoleren.
  • Als een apparaat niet reageert nadat u de functie hebt ingeschakeld, start u het apparaat opnieuw op.

Bekijk deze overwegingen bij het bewaken en oplossen van problemen met aangepaste regels voor gegevensverzameling:

  • Uitsluitingen voor eindpuntdetectie en -respons (EDR) kunnen aangepaste verzamelingsregels overschrijven.
  • Dynamische tags worden ongeveer elk uur bijgewerkt. Controleer de kolom Aangepaste verzameling>Laatste uitvoeringstijd voor de status.

Aangepaste regels voor gegevensverzameling bewerken, verwijderen en in- of uitschakelen

  • Als u een regel wilt bewerken, gaatu naar Instellingen>Eindpuntregels>> Aangepaste verzameling, selecteert u de regel die u wilt bewerken en selecteert u Bewerken.
  • Als u een regel wilt in- of uitschakelen, selecteert u de regel die u wilt wijzigen en schakelt u het selectievakje Inschakelen onder de regelbeschrijving in of uit. Wanneer u een regel uitschakelt, stopt het verzamelen van gegevens voor die regel op alle doelapparaten.
  • Als u een regel wilt verwijderen, selecteert u de regel die u wilt verwijderen en selecteert u Verwijderen. Wanneer u een regel verwijdert, wordt de regel definitief verwijderd uit het systeem.

Tip

Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.

  • Last updated on